Безопасность общенациональной базы приватных данных

Сегодня в России идет работа по созданию Системы персонального учета населения (СПУН), которая призвана стать системой взаимодействия государства и граждан при учете и обмене персональными данными, а также системой предоставления государственных услуг. Данная система будет создаваться в течение семи лет в три этапа.

СПУН представляет собой территориально распределенную информационную систему, функционирующую на федеральном, региональном и муниципальном уровнях. Она обеспечивает взаимодействие автоматизированных систем учета органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций. Другими словами, СПУН не требует физической интеграции существующих сегодня баз данных, а представляет некоторую надстройку над ними, позволяющую обеспечить комплексный доступ к самым разрозненным сведениям о гражданах.

Важным компонентом СПУН является Единый государственный регистр населения (ЕГРН), содержащий персональные данные обо всем населении страны. Сейчас уже в 9 регионах России проходит тестирование этого регистра: в Москве, Московской области, Санкт-Петербурге, Нижегородской области, Ямало-Ненецком автономном округе, Калининградской области, Ханты-мансийском автономном округе, Ярославской области и Новгородской области. Об этом на прошлой неделе сообщила Елена Бойченко, директор НИОКР «Инсофт», выступая на круглом столе «Влияние использования информационных технологий на качество государственного управления: государство и общество».

ЕГРН разрабатывается с 2003 года Министерством информационных технологий и связи РФ в рамках ФЦП «Электронная Россия». Он содержит идентификаторы персональных данных и первичные идентификационные данные обо всем населении страны, всего шесть параметров: фамилия, имя, отчество, дата и место рождения, пол.

Заметим, что хотя в необходимости создания СПУН и ЕГРН не приходится сомневаться, все большее и большее число экспертов обращают внимание на проблему безопасности этого единого источника всесторонних сведений о гражданах страны. Достаточно заметить, каким спросом сегодня пользуются отдельные базы данных налоговой инспекции, телефонных компаний, ГИБДД и т.д. После же создания СПУН злоумышленники смогут предложить покупателям «абсолютный» товар: все только существующие приватные сведения о каждом гражданине или целом регионе страны. Причем настораживает тот факт, что о защите создаваемой Системы от нецелевого использования сами чиновники и исполнители проекта не задумываются. Между тем, в настолько глобальном проекте «прикрутить» безопасность на последнем этапе просто не удастся, так как технологии по предотвращению утечек требуют продуманного внедрения, желательно на этапе проектирования системы.

«На практике система персонального учета приведет к наделению целого ряда чиновников достаточными полномочиями, чтобы собрать абсолютно все имеющиеся приватные сведения о какой-то конкретной группе граждан со всех распределенных государственных баз данных. Это уже совсем другой уровень угрозы: раньше криминальные элементы, чтобы добыть необходимую информацию, были просто вынуждены пользоваться несколькими пиратскими базами данных, обновляющимися отнюдь не регулярно, или пытаться подкупить нескольких чиновников из различных ведомств и министерств. Появление новой глобальной системы чревато опасными угрозами несанкционированного доступа к централизованным массивам информации, утечки персональных сведений на открытый рынок и использования данных для оказания давления со стороны государства.

Заглядывая в будущее еще дальше можно утверждать, что СПУН станет основой для создания единой системы идентификации граждан подобной той, что сейчас обсуждается в Великобритании. Следует отметить, что СПУН в той или иной форме и последующая глобальная система идентификации – это путь, который необходимо пройти каждой развитой стране. Другими словами, при построении аналогичных систем в России уже сейчас можно, если не использовать, то хотя бы ознакомиться с опытом других стран.

Зарубежный опыт

В Великобритании закон о введении общенациональных идентификационных карт, основанных на биометрической аутентификации по отпечаткам пальцев и централизованном банке персональных данных, уже успешно прошел второе чтение в Палате представителей. Однако у этой инициативы есть серьезная оппозиция. В частности многие общественные деятели из числа тори накануне выборов выдвигают серьезные аргументы против нововведения. Только производственные затраты на выпуск карт составят около 300 млн. фунтов, а в целом проект поглотит до нескольких десятков миллиардов бюджетных средств. Консерваторы также упирают на попрание демократических свобод, чрезвычайную сложность внедрения, неготовность ИТ-инфраструктуры страны, и, как следствие, возникновение идентификационного Армагеддона сразу же после принятия закона. В качестве примера приводится опыт Австралии и Новой Зеландии, где подобные проекты потерпели фиаско.

Тем не менее, все эти доводы кроме одного не выдерживают серьезной критики и служат, скорее, политическим целям, чем реальному делу. Например, в 2002 году британское правительство опробовало подобную систему для беженцев. Она доказала свою жизнеспособность, причем никто и никогда не считал это нарушением демократических свобод.

В то же самое время плюсы от внедрения такой системы очевидны. Система обеспечивает эффективный многофакторный контроль над населением с хранением всех данных в государственном электронном архиве. Люди получают универсальную карту, которая заменит около 200 других идентификационных документов. Спектр ее применения простирается от пропуска в госучреждения до совершения покупок в Интернете.

Единственный камень раздора, который по-прежнему не дает законодателям придти к компромиссу, это проблема безопасности государственного электронного архива. Противники продвигаемого закона уже красноречиво окрестили центральную базу данных «Mother Of All Databases». По мнению экспертов компании InfoWatch, этот лакомый кусок немедленно станет объектом неуемного интереса со стороны компьютерного андеграунда и инсайдеров. Немудрено, ведь главный приз в этом заезде – полная информация обо всех жителях одной из богатейших стран мира. В погоне за таким товаром преступное сообщество пойдет на любые взятки и ухищрения. Если вспомнить, какие суммы способны выложить российские злоумышленники лишь за одну ведомственную базу данных, а по сведениям газеты «Ведомости» в результате последней утечки базы налоговой службы за 2004 год инсайдеры обогатились на 2,5 млн. долларов, то за «Mother Of All Databases» заинтересованные лица, без сомнения, выложат десятки миллионов долларов. Вряд ли хоть один чиновник устоит от такого вознаграждения, ведь на преступления люди идут и за гораздо меньшие деньги.

Как бы то ни было, дебаты о предотвращении утечек из центральной базы данных уже идут. Британцы дорожат безопасностью своих персональных сведений, поэтому общественные организации, адвокаты приватности и законодатели обсуждают различные пути решения проблемы. Рано или поздно они придут к общему мнению и побеспокоятся о защите «Mother Of All Databases».

«Важно, что британские парламентарии включили проблему безопасности глобального архива данных в техническое задание проекта и выделили на ее решение соответствующие средства. Это значит, что аспекты защиты учитываются во время проектирования и построения центральной базы, а в конченом варианте будут реализованы механизмы для предотвращения утечек и нецелевого использования. К сожалению, в России процесс создания глобальной системы уже идет полным ходом, а о безопасности результата пекутся лишь независимые эксперты», - отмечает Денис Зенкин.

Безопасность приватных данных в России

Торговля государственными и коммерческими базами данных в России ведется на широкую ногу уже 15 лет. Тем не менее, это один из тех случаев, когда масштаб и число инцидентов со временем только растут. Особенно плодовитым для продавцов нелегальных баз стал еще не закончившийся 2005 год. Его начало ознаменовалось двумя крупными утечками из Центробанка (февраль и май), а конец чрезвычайно опасной утечкой из «НИКойла» и еще одной из Министерства по налогам и сборам (октябрь и ноябрь). Не исключено, что оставшийся месяц подкинет еще один инцидент…

Таким образом, возвращаясь к СПУН, можно опираться на два факта. Во-первых, о защите создаваемой Системы никто заботиться не собирается. К сожалению, все бремя безопасности легло всего на две строчки концепции СПУН, которая была одобрена 9 июня 2005 года Правительством РФ. В частности в системе должны быть обеспечены: «учет и регистрация всех действий с персональными данными, производимых пользователями системы персонального учета», а также «защита персональных данных в соответствии с законодательством РФ и требованиями по обеспечению информационной безопасности». Первое положение есть ничто иное, как пассивный мониторинг и тщательный аудит, второе же, довольно обтекаемое положение содержит ссылку на законы РФ и требования по обеспечению ИТ-безопасности. Однако, как широко известно, банковские базы и базы Министерства по налогам и сборам тоже защищены соответствующими законами, а все действия с информацией из этих баз тоже должны регистрироваться и учитываться. Что же мы видим на практике? Ни в одном случае ведомственной утечки не был найден ни один виновный. Более того, сегодня любое министерство может сказать просто: «Утечка произошла не у нас. Мы ни в чем не виноваты!». Что касается спецслужб, проводящих расследование инцидента уже постфактум, то их вряд ли можно обвинить в некомпетентности, ведь практически ни одна государственная или крупная коммерческая организация не обладает инфраструктурой, необходимой хотя бы для пассивного мониторинга операций с чувствительной информацией. Таким образом, правоохранительные органы не просто не могут выявить источник утечки, а на самом деле испытывают трудности с тем, чтобы доказать факт утечки из конкретной организации.

Во-вторых, практика ежегодных утечек из государственных и частных организаций свидетельствует, что на рынке существует устойчивый спрос на персональные данные. Однако потребность в таком ценном товаре есть в каждой стране мира, но в Европе и США проблема находится под контролем государства. Конечно, утечки происходят и в самых богатых государствах, но только из коммерческих фирм, а почти каждый инцидент сопровождает оглаской, штрафами, а потом и тюремными сроками. В России же спрос на чувствительные данные удовлетворяется почти полностью: злоумышленники идут на все, что предложить базы различных министерств и ведомств. Таким образом, можно с полной уверенностью утверждать, что персональная информация, которая будет доступна в едином виде через СПУН, попадет на прилавки ларьков и лоточков.  

Что делать?

Очевидно, что проблема лежит не в самой системе учета. Она действительно нужна для обеспечения эффективного управления данными и использования их. Вопрос стоит по-другому – как защитить архивы персональных сведений граждан от централизованной утечки? И вообще – возможно ли это в принципе?

Естественно, возможно. Предотвратить утечку можно любых данных, в любой организации. Причем методология защиты одинакова как для коммерческих, так и для государственных компаний. Компания InfoWatch описывает этапы проекта по внедрению технологий для детектирования и предотвращения утечек следующим образом: анализ ИТ-инфраструктуры с учетом технических и организационных аспектов, создание или доработка политики ИТ-безопасности, установка технических средств (оборудования и программного обеспечения) и подстройка организационной структуры, обучение персонала и, наконец, сопровождение проекта. В некоторых случаях внедряемое решение требует адаптации под нужды защищаемой организации. При этом уже внедренное решение способно зафиксировать и блокировать утечку по всем существующим техническим каналам, начиная от стандартного Интернета, принтера и USB-брелка и заканчивая относительно редкими Wi-Fi, Bluetooth, ноутбуками и карманными компьютерами. Все действия с чувствительной информаций протоколируются и в случае утечки инсайдера можно привлечь к ответственности. Таким образом, все стадии проекта легко применимы и для государственных организаций в целом, и для защиты распределенных или централизованных баз данных.

Однако чтобы шестеренки закрутились, и СПУН действительно обросла адекватными механизмами безопасности, необходимо стимулировать это направление и, по крайней мере, внести требования к ИТ-безопасности в техническое задание проекта. Другими словами, власть должна указать государственным организациям путь, следуя которому, они будут в состоянии обезопасить приватные сведения.

 Действительно практика государственного регулирования многих аспектов, связанных с защитой персональных данных граждан широко используется во многих западных странах. Можно вспомнить Директивы о защите приватных данных в Евросоюзе и американские законы GLBA и HIPAA (первый защищает конфиденциальные финансовые записи, а второй чувствительные медицинские сведения).

«Правительству следует быть последовательным до конца. России необходим стандарт, определяющий минимальные требования к ИТ-безопасности будущей системы персонального учета. Разработку такого стандарта логично поручить Министерству информационных технологий и связи РФ, а его действие расширить на все государственные базы данных. В декабре 2004 года Центральный Банк РФ уже показал пример, как нужно составлять хорошие стандарты ИТ-безопасности. Государственные организации могли бы многому у него поучиться», - считает Денис Зенкин.

Какие минимальные требования являются наиболее оптимальными для защиты записей, доступных в рамках СПУН?

• Во-первых, это централизованная система расширенного аудита, которая должна быть фундаментальным компонентом любой ИТ-инфраструктуры, взаимодействующей с приватной базой данных. Такая система должна обеспечивать выполнение фискальных процедур и ведение журнала событий, в который заносится следующая информация: кто, когда, зачем и какие персональные записи получил из государственной базы данных, а также какие операции с ними произвел. Конечно, указанная система защиты носит пассивный характер, тем не менее, она позволяет проследить жизненный цикл приватных записей, выявить источник утечки (правда, постфактум) и конкретное лицо, на котором лежит ответственность за неправомерное использование конфиденциальных данных.
•  Во-вторых, необходим активный мониторинг за использованием приватных данных (вдобавок к пассивным фискальным процедурам). В частности любой служащий, который получил доступ к персональным сведениям, должен быть ограничен в своих действиях. По крайней мере, он не должен иметь возможности экспортировать большой объем записей из приватной базы данных, а после этого передавать его по открытым каналам электронной почты или всемирной паутины куда заблагорассудится. Предотвращение утечки должно также покрыть все возможные пути утечки информации

Таким образом, очень важно, чтобы государство сформулировало четкие требования, которые позволят защитить персональные данные граждан. Если наличие такого стандарта для различных отраслей бизнеса просто желательно, то для государственного сектора и глобальных БД указанный стандарт просто необходим.

Остается надеяться, что оставшиеся до построения системы персонального учета 7 лет государство использует с умом. В противном случае термин «частная жизнь граждан» просто исчезнет из нашего обихода.